[Metalab] WinPcap.4.1. -- technische Anfrage!

Peter J. Holzer hjp at hjp.at
Tue Apr 17 20:55:14 CEST 2012 

[Vorbemerkung: Meines Wissens ist die üblche Konfiguration bei Chello,
dass der PC über Ethernet an das Modem angeschlossen wird und über DHCP
eine (routbare) IP-Adresse (+Gateway, DNS-Config, etc.) zugewiesen
bekommt. Am PC muss man also nichts installieren oder konfigurieren.
Ich gehe davon aus, dass hier diese übliche Konfiguration vorliegt.]

On 2012-04-17 11:41:53 +0200, BDuN at gmx.net wrote:
> Tatsache ist, ICH habs nicht - bewußt - runtergeladen, ich kannte das
> Ding gar nicht !

*pcap ist eine Packet-Sniffing-Library (unter Windows möglicherweise
ein Dienst), die von diversen Packet-Sniffern (z.B. Wireshark) verwendet
wird. Die wirst Du fast sicher nicht allein installieren sondern immer
mit einem anderen Programm mitinstallieren.


> Dieser Lappy stammt aus Deutschland, gegen Weihnachten online gekauft,
> anstandslos geliefert, eingesteckt, läuft - vorinstallierte
> Win7Premium Home Edition, der Standard halt - keine CD dazu, sondern
> Partition mit backup, den voristallierten Norton-Symantec hab ich
> sofort gegrillt, Zone Alarm und Adaware neu runtergeladen, da 64bit
> System, zuvor 32 und daher die alten unbrauchbar...
[...]
> Freitag früher Nachmittag bringe ich das alte Modem, alle Kabel,
> erhalte alles neu, der nette junge Mann am Helpdesk schaltet es frei,
> sagt, daß es in ca. 30 Minuten laufen müßte und das wars ... Freitag
> 20.00 Uhr nix - Anruf - könn ma nix machen, der Techniksupport ist
> schon im Wochenende ... ich fahre Samstag wieder hin und will das
> Modem erneut austauschen, weil das ohne Techniksupport direkt vom
> Helpdesk her neu freigeschalten werden kann -- geht nicht, dieses hier
> wäre irgendwo "im System" und es würde nicht am Modem liegen, sondern
> am DNS und das könne nur der 2. technische Support ..

Der Sonntag war der 25. Da hattest Du also weder eine
Internet-Verbindung noch Kontakt zu einem Chello-Techniker.

Wobei "keine Internet-Anbindung" mit Vorsicht zu betrachten ist: Die
Aussagen, das Modem sei "im System", es liege "nicht am Modem, sondern
am DNS" klingen eher danach, als ob die Internet-Verbindung eh da war,
nur Deine DNS-Einstellungen waren irgendwie verhunzt (vermutlich falsche
DNS-Server eingetragen).

D.h. dein Laptop war - sofern eingeschaltet - ganz normal im Netz, 
Du konntest nur wenig machen, weil die Verwendung von IP-Adressen halt
ein wenig mühsam ist (und oft gar nicht geht). Einen eventuellen
Angreifer von außen stört das aber natürlich nicht.


> am Montag drauf noch immer nix, am Dienstag detto, Dienstag spätabends
> gehts plötzlich kurz und ist wieder weg, ich ruf die Hotline an, eine
> weibliche Stimme sagt mir was von Kabeln raus und wieder ein und sie
> würde mir "eine neue Software schicken"

Ich nehme an, damit hat sie gemeint, dass sie dem Modem eine neue
Software schickt. Auf Deinen Laptop sollte sie keinen Zugriff haben.

> - es geht ca. 1 Stunde, dann ist es wieder weg
> ... wieder Hotline, männliche junge Stimme sagt mir ,welches System
> ich nutze, welche Marke mein Laptop ist und daß ich die Firewall
> wegschalten soll - ich machs, frag ihn aber "was das können Sie alles
> sehen ? "

Soweit nicht sonderlich verwunderlich. Die Marke des Laptops sieht er
wahrscheinlich an der MAC-Adresse[1], das Betriebssystem lässt sich
meistens auch recht zuverlässig erkennen oder notfalls raten (wieviel
Prozent der Chello User verwenden wohl Windows 7 Home Edition?) und ob
ein Firewall aktiv ist, merkt er wahrscheinlich auch schnell (abgesehen
davon steht "Firewall abschalten" auf seiner Checkliste wahrscheinlich
ganz oben - gefühlte[2] 90% der Netzwerkprobleme, die Windows-User haben,
lassen sich auf falsch konfigurierte Windows-Firewalls zurückführen)


> - er: was meinen Sie, was ich von hier aus noch alles sehen kann

Männliches Imponiergehabe? ;-)


> ...dann schaltet er sich weg, läßt mich warten, nach geraumer
> Weile ist das Modem erst völlig tot, dann gehen alle Lichter an

Offensichtlich hat er Modem neu gestartet, vermutlich nachdem er etwas
an der Konfiguration (Adressen der DNS-Server?) geändert hat. 

Ich sehe da keinen Hinweis darauf, dass er etwas an Deinem Laptop
gemacht hätte.

> und es läuft - bis jetzt ...auf meine Frage, was es denn nun genau
> gewesen sei, meinte er nur, daß "was mit dem DNS nicht gestimmt hätte"
> - das hat mir mein eigener Fehlerscan auch gesagt ! 

Ja, aber er hat gewusst, wie er es behebt ;-)


> Interessant ist, daß das alles um den 25. März herum war - genau der
> Tag, an dem das WinPcap in meinem System erschienen ist ...
> 
> jetzt hab ich mich etwas umgeschaut in Foren und dazu etwas aus dem
> Jahr 2008 ! gefunden - da schreibt man, der (deutsche) Bundestrojaner
> steckt im DSL-Modem ....wenn das stimmt, kann ich System aufsetzen,
> sooft ich will, denn sobald ich das Modem anschließe, hab ichs wieder
> drauf ...
> 
> http://www.trojaner-board.de/67385-bundestrojaner.html

Das sieht mir nicht sonderlich seriös aus. Die Frage im ersten Kommentar
"Quelle: Kettenbrief?" ist berechtigt.

Auch ein Windows-PC lädt im Normalfall keine Software vom DHCP-Server,
sondern nur eine Handvoll Konfigurationsdaten. So leicht ist es also
nicht, über das Modem Software am PC zu installieren, ohne dass der
Benutzer daran mitwirkt[3].

Am Modem selbst könnte man natürlich Überwachungssoftware installieren,
aber dort verfehlt sie den Zweck: Nämlich eine allfällige
Verschlüsselung auszuhebeln, indem man die Daten abgreift bevor sie
verschlüsselt bzw. nachdem sie entschlüsselt werden.


> ich werde mir also jetzt mal das Wireshark greifen

und damit WinPcap installieren (ich bin mir ziemlich sicher, dass
Wireshark auf Windows WinPcap verwendet - Wireshark für Linux verwendet
jedenfalls libpcap).

> und mir anschauen und zweitens werde ich bei chello anfragen mit dem
> Hinweis, daß ich die Antwort von Arge Daten überprüfen lassen werde
> ...denn Vorratsdatenspeicherung hin oder her, am 25. März war noch
> nicht der erste April und eine allfällige Installation einer
> Spionagesoftware

... hat mit der Vorratsdatenspeicherung nichts zu tun. Die
Vorratsdatenspeicherung verpflichtet den Provider (und erlaubt ihm)
ausschließlich, die IP-Adresse (bei Chello einfach, da (fast) statisch)
sowie Verbindungsdaten (keine Inhalte) von ein- und ausgehenden E-Mails,
Telefonaten (inkl. VoIP) und SMS zu speichern. Spionagesoftware
("Bundestrojaner") ist ein ganz anderes Kapitel.


> müßte entweder richterlich genehmigt gewesen sein

Da bin ich mir nicht sicher: Da ist einiges an Kompetenzen von den
Richtern zu den Staatsanwälten bzw. zur Polizei gewandert. Aber
jedenfalls müsste es dafür ein laufendes Verfahren geben.

> (dann hätte ich Anrecht auf Information !)

Kaum. Welchen Sinn hätte es, jemanden abzuhören, wenn man ihm das
mitteilen muss? Das erfährst Du frühestens, wenn Dich die Cobra um 5 Uhr
früh aus dem Bett holt.

> oder es war widerrechtlich - dann tuschts!

Dann sollte es wirklich tuschen. Aber das scheint mir doch eher
unwahrscheinlich.

	hp

[1] Gib Deine MAC-Adresse mal hier ein: http://hwaddress.com/

[2] Mein Gefühl ist da aber wahrscheinlich nicht repräsentativ. Ich habe
    mit Windows glücklicherweise relativ wenig zu tun.

[3] So, jetzt werde ich paranoid: Firefox für Linux ist ein unsigniertes
    tar.bz2-File, das über eine ungesicherte Verbindung heruntergeladen 
    wird ...

-- 
   _  | Peter J. Holzer    | Der eigene Verstand bleibt gefühlt messer-
|_|_) | Sysadmin WSR       | scharf. Aber die restliche Welt blickt's
| |   | hjp at hjp.at         | immer weniger.
__/   | http://www.hjp.at/ |   -- Matthias Kohrs in desd
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 828 bytes
Desc: Digital signature
URL: <http://lists.metalab.at/pipermail/metalab/attachments/20120417/d743fadc/attachment.sig>

More information about the Metalab mailing list